情報処理安全確保支援士の午後問題を攻略するには、過去問を勉強するだけでは、物足りないです。現実に起きた事件を詳しく知って、「こういうことって本当にできるんだ」という実感がほしいから。
ただ、不正アクセスを受けた会社でも、事件の詳細を公にすることは少ないようです。そりゃあ、説明責任があるとは言え社内機密を公にすることははばかれるし、「恥」をわざわざ公にしよう…とはならないからですが。
それでも、事件の詳細を公開している企業もあります。
不正アクセスが実際どのような手法で行なわれるのか、具体的なイメージをつかむことは大事だと思うので、見つけた2つの例を載せます。
日本年金機構の個人情報流出事件 (2015)
当時、結構ニュースで騒がれたやつです。
標的型攻撃を受け、メールの添付ファイルからウイルスに感染し、大量の個人情報が漏れたもの。
日本年金機構における不正アクセスによる情報流出事案について
報道文書が沢山ありますが、攻撃の詳細な経緯、組織内でどう対処したか、が詳しく公開されています。
PIPED BITSの個人情報流出事件 (2015〜2016)
PIPED BITS(パイプドビッツ)が運営する、ECサイト運営サービスが不正アクセスを受け、個人情報が流出したもの。犯人がクレジットカード情報を盗もうとしたと思われる痕跡もあったそう。
「SPIRAL EC(R)」への不正アクセスによる個人情報流出について|情報資産プラットフォームを活用したソリューション提供のパイプドビッツ
「SPIRALEC®」への不正アクセスによる個人情報流出についてはこちら。パイプドビッツは「情報資産の銀行」としてお客様の大切なデータをお預かりするとともに、データベースプラットフォームの活用を通し様々なビジネスシーンの課題に対するソリューションを提供致します。
年金機構の事件もですが、支援士の試験は実際に発生した事件を基に問題が作られていることがわかると思います。
実際の事件を確認することも大事ですね。